Руководство по безопасности сделок Web3: защита ваших активов в блокчейне
С развитием децентрализованной экосистемы цепочные транзакции стали важной частью повседневной деятельности пользователей Web3. Активы пользователей мигрируют с централизованных платформ на децентрализованные сети, что означает, что ответственность за безопасность активов постепенно переходит от платформы к самим пользователям. В цепочной среде пользователи должны нести ответственность за каждое взаимодействие, будь то импорт кошелька, доступ к приложениям или подпись авторизации и инициирование транзакций; любая ошибка в операции может стать источником угрозы безопасности, что приведет к утечке приватных ключей, злоупотреблению авторизацией или мошенничеству в сети и т.д.
Хотя в настоящее время основные плагины для кошельков и браузеры постепенно интегрируют функции выявления и предупреждения о рисках, полагаться только на пассивную защиту инструментов все еще сложно полностью избежать рисков в условиях все более сложных методов атаки. Чтобы помочь пользователям более четко выявлять потенциальные риски в цепочечных транзакциях, мы на основе практического опыта составили перечень наиболее распространенных рисковых сценариев на всех этапах и разработали системное руководство по безопасности цепочечных транзакций в сочетании с советами по защите и советами по использованию инструментов, чтобы помочь каждому пользователю Web3 построить "автономную и контролируемую" защитную линию.
Основные принципы безопасной торговли:
Отказ от слепого подписания: никогда не подписывайте сделки или сообщения, которые вы не понимаете.
Повторная проверка: перед проведением любой сделки обязательно несколько раз проверяйте точность соответствующей информации.
Один, Рекомендации по безопасной торговле
Безопасная торговля является ключом к защите цифровых активов. Исследования показывают, что использование безопасных кошельков и двухфакторной аутентификации (2FA) может значительно снизить риски. Вот конкретные рекомендации:
Используйте безопасный кошелек:
Выбирайте поставщиков кошельков с хорошей репутацией, таких как аппаратные кошельки или известные программные кошельки. Аппаратные кошельки предоставляют оффлайн-хранение, что снижает риск онлайн-атак и подходит для хранения крупных активов.
Дважды проверьте детали транзакции:
Перед подтверждением транзакции всегда проверяйте адрес получателя, сумму и сеть, чтобы избежать потерь из-за ошибок ввода.
Включите двухфакторную аутентификацию (2FA):
Если торговая платформа или кошелек поддерживают 2FA, обязательно включите его для повышения безопасности аккаунта, особенно при использовании горячего кошелька.
Избегайте использования общедоступного Wi-Fi:
Не проводите транзакции в общественных Wi-Fi сетях, чтобы избежать фишинга и атак посредников.
2. Как проводить безопасные сделки
Полный процесс торговли децентрализованным приложением включает несколько этапов: установка кошелька, доступ к приложению, подключение кошелька, подписание сообщений, подписание сделок, обработка после сделки. На каждом этапе существуют определенные риски безопасности, далее будут поочередно рассмотрены меры предосторожности в реальных операциях.
1. Установка кошелька:
В настоящее время основным способом использования децентрализованных приложений является взаимодействие через кошельки в виде плагинов для браузера. При установке плагина-кошелька для Chrome необходимо убедиться, что он загружается и устанавливается из официального магазина приложений, чтобы избежать установки кошельков с бэкдорами с третьих сайтов. Пользователям, имеющим возможность, рекомендуется комбинировать использование аппаратных кошельков для дальнейшего повышения общей безопасности хранения закрытых ключей.
При установке кошелька и резервного seed-фразы (обычно это восстановительная фраза из 12-24 слов) рекомендуется хранить ее в безопасном физическом месте, вдали от цифровых устройств.
2. Доступ к приложению
Фишинг в вебе является распространённым методом атак в Web3. Типичный случай заключается в том, чтобы под предлогом аирдропа заманить пользователей посетить фишинговое приложение, после чего, когда пользователи подключают свои кошельки, их подталкивают подписать разрешения на токены, переводы или подписи токенов, что приводит к потере активов.
Поэтому при доступе к приложению пользователям необходимо быть внимательными, чтобы избежать ловушек веб-фишинга.
Перед доступом к приложению рекомендуется подтвердить правильность веб-адреса.
Избегайте прямого доступа через поисковые системы: злоумышленники могут повысить рейтинг своих фишинговых сайтов, покупая рекламные места.
Избегайте нажатия на ссылки в социальных сетях: URL-адреса, размещенные в комментариях или сообщениях, могут быть фишинговыми.
Повторно проверьте правильность URL приложения: можно сверить с несколькими надежными источниками.
Добавьте безопасный сайт в закладки браузера: в дальнейшем можно будет напрямую заходить из закладок.
После открытия веб-страницы приложения также необходимо провести проверку безопасности адресной строки:
Проверьте, похожи ли доменное имя и URL на подделку.
Проверьте, является ли ссылка HTTPS, браузер должен отображать значок замка.
В настоящее время основные плагин-кошельки на рынке также интегрировали определенные функции предупреждения о рисках, которые могут отображать сильные напоминания при доступе к рискованным веб-сайтам.
3. Подключить кошелек
После входа в приложение может автоматически произойти подключение кошелька или это действие запустится после нажатия на кнопку "Подключить". Плагин-кошелек проведет некоторые проверки и отобразит информацию для текущего приложения.
После подключения кошелька, как правило, приложение не будет активно вызывать плагин-кошелек, если у пользователя нет других действий. Если сайт после входа в систему часто вызывает кошелек с просьбой подписать сообщения, подписать транзакции, а даже после отказа от подписания продолжает всплывать с просьбой о подписании, то это также может быть признаком фишингового сайта, к которому нужно относиться с осторожностью.
4. Подпись сообщения
В экстремальных случаях, например, если злоумышленник атакует официальный сайт протокола или проводит атаки через перехват фронтенда и заменяет содержимое страницы, обычным пользователям очень трудно оценить безопасность сайта в такой ситуации.
В этот момент подпись плагина-кошелька является последним барьером для защиты активов пользователя. Если отклонить злонамеренные подписи, можно обеспечить защиту своих активов от потерь. Пользователям следует тщательно проверять содержимое подписи перед подписанием любых сообщений и транзакций, избегая слепых подписей, что позволит избежать потерь активов.
5. Подпись транзакции
Подпись транзакции используется для авторизации транзакций в блокчейне, таких как переводы или вызовы смарт-контрактов. Пользователь подписывает с помощью закрытого ключа, сеть проверяет действительность транзакции. В настоящее время многие кошельки-плагины декодируют сообщения, ожидающие подписи, и отображают соответствующее содержание, обязательно следуйте принципу недопустимости слепой подписи, рекомендации по безопасности:
Тщательно проверьте адрес получателя, сумму и сеть, чтобы избежать ошибок.
Рекомендуется использовать оффлайн-подпись для крупных сделок, чтобы снизить риск онлайн-атак.
Обратите внимание на газовые сборы, убедитесь, что они разумные, чтобы избежать мошенничества.
Для пользователей с определенными техническими знаниями также можно использовать некоторые распространенные методы ручной проверки: скопировав адрес целевого контракта в браузер блокчейна для проверки, основное внимание уделяется тому, является ли контракт открытым, были ли недавние объемные сделки и имеет ли данный адрес официальную метку или метку злоумышленника и т.д.
6. Обработка после сделки
Избежав фишинговых страниц и вредоносных подписей, это не означает, что все в порядке; после сделки также необходимо проводить управление рисками.
После сделки следует своевременно проверить состояние транзакции в блокчейне, чтобы подтвердить, соответствует ли оно ожидаемому состоянию на момент подписания. Если обнаружены аномалии, немедленно выполните операции по переводу активов, аннулированию полномочий и другим мерам по ограничению убытков.
Управление одобрением ERC20 также очень важно. В некоторых случаях пользователи предоставили токен-одобрение для определенных контрактов, и спустя годы эти контракты подверглись атаке, а злоумышленники использовали лимит токенов, одобренный атакованным контрактом, чтобы украсть средства пользователей. Чтобы избежать таких ситуаций, мы рекомендуем пользователям следовать следующим стандартам для предотвращения рисков:
Минимизация полномочий. При авторизации токенов следует предоставлять ограниченное количество токенов в зависимости от потребностей сделки. Если для какой-либо сделки требуется авторизация 100 USDT, то количество авторизованных токенов должно быть ограничено 100 USDT, а не использовать стандартную безлимитную авторизацию.
Своевременно отменяйте ненужные разрешения на токены. Пользователи могут войти в специальный инструмент управления разрешениями, чтобы проверить статус разрешений на соответствующих адресах, отменить разрешения протоколов, которые долгое время не использовались, чтобы предотвратить потенциальные уязвимости в протоколах, которые могут привести к потерям активов из-за использования разрешений пользователя.
Три, стратегия изоляции средств
При наличии осознания рисков и проведении достаточной профилактики рисков также рекомендуется осуществить эффективное разделение средств, чтобы в крайних случаях уменьшить степень ущерба для капитала. Рекомендуемая стратегия следующая:
Используйте мультиподписной кошелек или холодный кошелек для хранения крупных активов;
Используйте кошелек плагина или EOA-кошелек в качестве горячего кошелька для повседневного взаимодействия;
Регулярно меняйте адрес горячего кошелька, чтобы предотвратить постоянное воздействие адреса на рисковую среду.
Если вы случайно стали жертвой фишинга, мы рекомендуем немедленно принять следующие меры для снижения убытков:
Используйте инструменты управления доступом для отмены высоких рисков разрешений;
Если подпись permit была подписана, но активы еще не были переведены, можно немедленно инициировать новую подпись, чтобы сделать старую подпись недействительной.
При необходимости быстро переведите оставшиеся активы на новый адрес или холодный кошелек.
Четыре, как безопасно участвовать в аирдропах
Airdrop — это распространённый способ продвижения блокчейн-проектов, но в нём также скрыты риски. Вот несколько рекомендаций:
Исследование фона проекта: убедитесь, что у проекта есть четкий белый документ, открытая информация о команде и репутация сообщества;
Используйте отдельный адрес: зарегистрируйте специальный кошелек и электронную почту, чтобы изолировать риски основного счета;
Осторожно с ссылками: получайте информацию о аирдропах только через официальные каналы, избегайте нажатия на подозрительные ссылки в социальных сетях;
Пять, рекомендации по выбору и использованию инструментов плагинов
Содержимое правил безопасности в блокчейне обширно, и не всегда возможно проводить тщательную проверку при каждом взаимодействии. Выбор безопасных плагинов имеет решающее значение, так как они могут помочь нам в оценке рисков. Вот конкретные рекомендации:
Доверенные расширения: используйте браузерные расширения с высокой популярностью. Эти плагины предоставляют функции кошелька и поддерживают взаимодействие с децентрализованными приложениями.
Проверка рейтинга: перед установкой нового плагина проверьте рейтинг пользователей и количество установок. Высокий рейтинг и большое количество установок обычно указывают на то, что плагин более надежен и снижает риск наличия вредоносного кода.
Поддерживайте обновления: регулярно обновляйте ваши плагины, чтобы получить последние функции безопасности и исправления. Устаревшие плагины могут содержать известные уязвимости, которые могут быть использованы злоумышленниками.
Шесть, Заключение
Следуя вышеуказанным рекомендациям по безопасной торговле, пользователи могут более уверенно взаимодействовать в все более сложной экосистеме в блокчейне, реально повышая защиту своих активов. Хотя технологии блокчейна обладают основными преимуществами децентрализации и прозрачности, это также означает, что пользователи должны самостоятельно справляться с множеством рисков, включая фишинг подписей, утечку приватных ключей и вредоносные приложения.
Чтобы достичь настоящей безопасности в блокчейне, полагаться только на инструменты уведомления совершенно недостаточно; ключевым является формирование системного осознания безопасности и привычек в работе. Используя аппаратные кошельки, реализуя стратегии изоляции средств, регулярно проверяя разрешения и обновляя плагины и другие меры защиты, а также внедряя в торговые операции концепцию "многофакторной аутентификации, отказ от слепых подписей, изоляция средств", можно действительно добиться "свободного и безопасного входа в блокчейн".
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
11 Лайков
Награда
11
4
Репост
Поделиться
комментарий
0/400
mev_me_maybe
· 08-09 05:14
Не я говорю, ссылки все равно позволяют людям красть деньги.
Посмотреть ОригиналОтветить0
ZKSherlock
· 08-09 05:11
на самом деле... децентрализация просто переносит риски безопасности с централизованных бирж на пользователей. не буду врать, математика за zkps справилась бы с этим намного лучше, чем текущие "инструменты обнаружения рисков".
Посмотреть ОригиналОтветить0
ImpermanentSage
· 08-09 05:08
Безопасность на первом месте, ничего не осталось.
Посмотреть ОригиналОтветить0
LiquidityWitch
· 08-09 05:03
Важность безопасности действительно понимаешь только после выпуска токена.
Построение личной безопасности транзакций в блокчейне: Полное руководство по защите активов Web3
Руководство по безопасности сделок Web3: защита ваших активов в блокчейне
С развитием децентрализованной экосистемы цепочные транзакции стали важной частью повседневной деятельности пользователей Web3. Активы пользователей мигрируют с централизованных платформ на децентрализованные сети, что означает, что ответственность за безопасность активов постепенно переходит от платформы к самим пользователям. В цепочной среде пользователи должны нести ответственность за каждое взаимодействие, будь то импорт кошелька, доступ к приложениям или подпись авторизации и инициирование транзакций; любая ошибка в операции может стать источником угрозы безопасности, что приведет к утечке приватных ключей, злоупотреблению авторизацией или мошенничеству в сети и т.д.
Хотя в настоящее время основные плагины для кошельков и браузеры постепенно интегрируют функции выявления и предупреждения о рисках, полагаться только на пассивную защиту инструментов все еще сложно полностью избежать рисков в условиях все более сложных методов атаки. Чтобы помочь пользователям более четко выявлять потенциальные риски в цепочечных транзакциях, мы на основе практического опыта составили перечень наиболее распространенных рисковых сценариев на всех этапах и разработали системное руководство по безопасности цепочечных транзакций в сочетании с советами по защите и советами по использованию инструментов, чтобы помочь каждому пользователю Web3 построить "автономную и контролируемую" защитную линию.
Основные принципы безопасной торговли:
Один, Рекомендации по безопасной торговле
Безопасная торговля является ключом к защите цифровых активов. Исследования показывают, что использование безопасных кошельков и двухфакторной аутентификации (2FA) может значительно снизить риски. Вот конкретные рекомендации:
Выбирайте поставщиков кошельков с хорошей репутацией, таких как аппаратные кошельки или известные программные кошельки. Аппаратные кошельки предоставляют оффлайн-хранение, что снижает риск онлайн-атак и подходит для хранения крупных активов.
Перед подтверждением транзакции всегда проверяйте адрес получателя, сумму и сеть, чтобы избежать потерь из-за ошибок ввода.
Если торговая платформа или кошелек поддерживают 2FA, обязательно включите его для повышения безопасности аккаунта, особенно при использовании горячего кошелька.
Не проводите транзакции в общественных Wi-Fi сетях, чтобы избежать фишинга и атак посредников.
2. Как проводить безопасные сделки
Полный процесс торговли децентрализованным приложением включает несколько этапов: установка кошелька, доступ к приложению, подключение кошелька, подписание сообщений, подписание сделок, обработка после сделки. На каждом этапе существуют определенные риски безопасности, далее будут поочередно рассмотрены меры предосторожности в реальных операциях.
1. Установка кошелька:
В настоящее время основным способом использования децентрализованных приложений является взаимодействие через кошельки в виде плагинов для браузера. При установке плагина-кошелька для Chrome необходимо убедиться, что он загружается и устанавливается из официального магазина приложений, чтобы избежать установки кошельков с бэкдорами с третьих сайтов. Пользователям, имеющим возможность, рекомендуется комбинировать использование аппаратных кошельков для дальнейшего повышения общей безопасности хранения закрытых ключей.
При установке кошелька и резервного seed-фразы (обычно это восстановительная фраза из 12-24 слов) рекомендуется хранить ее в безопасном физическом месте, вдали от цифровых устройств.
2. Доступ к приложению
Фишинг в вебе является распространённым методом атак в Web3. Типичный случай заключается в том, чтобы под предлогом аирдропа заманить пользователей посетить фишинговое приложение, после чего, когда пользователи подключают свои кошельки, их подталкивают подписать разрешения на токены, переводы или подписи токенов, что приводит к потере активов.
Поэтому при доступе к приложению пользователям необходимо быть внимательными, чтобы избежать ловушек веб-фишинга.
Перед доступом к приложению рекомендуется подтвердить правильность веб-адреса.
После открытия веб-страницы приложения также необходимо провести проверку безопасности адресной строки:
В настоящее время основные плагин-кошельки на рынке также интегрировали определенные функции предупреждения о рисках, которые могут отображать сильные напоминания при доступе к рискованным веб-сайтам.
3. Подключить кошелек
После входа в приложение может автоматически произойти подключение кошелька или это действие запустится после нажатия на кнопку "Подключить". Плагин-кошелек проведет некоторые проверки и отобразит информацию для текущего приложения.
После подключения кошелька, как правило, приложение не будет активно вызывать плагин-кошелек, если у пользователя нет других действий. Если сайт после входа в систему часто вызывает кошелек с просьбой подписать сообщения, подписать транзакции, а даже после отказа от подписания продолжает всплывать с просьбой о подписании, то это также может быть признаком фишингового сайта, к которому нужно относиться с осторожностью.
4. Подпись сообщения
В экстремальных случаях, например, если злоумышленник атакует официальный сайт протокола или проводит атаки через перехват фронтенда и заменяет содержимое страницы, обычным пользователям очень трудно оценить безопасность сайта в такой ситуации.
В этот момент подпись плагина-кошелька является последним барьером для защиты активов пользователя. Если отклонить злонамеренные подписи, можно обеспечить защиту своих активов от потерь. Пользователям следует тщательно проверять содержимое подписи перед подписанием любых сообщений и транзакций, избегая слепых подписей, что позволит избежать потерь активов.
5. Подпись транзакции
Подпись транзакции используется для авторизации транзакций в блокчейне, таких как переводы или вызовы смарт-контрактов. Пользователь подписывает с помощью закрытого ключа, сеть проверяет действительность транзакции. В настоящее время многие кошельки-плагины декодируют сообщения, ожидающие подписи, и отображают соответствующее содержание, обязательно следуйте принципу недопустимости слепой подписи, рекомендации по безопасности:
Для пользователей с определенными техническими знаниями также можно использовать некоторые распространенные методы ручной проверки: скопировав адрес целевого контракта в браузер блокчейна для проверки, основное внимание уделяется тому, является ли контракт открытым, были ли недавние объемные сделки и имеет ли данный адрес официальную метку или метку злоумышленника и т.д.
6. Обработка после сделки
Избежав фишинговых страниц и вредоносных подписей, это не означает, что все в порядке; после сделки также необходимо проводить управление рисками.
После сделки следует своевременно проверить состояние транзакции в блокчейне, чтобы подтвердить, соответствует ли оно ожидаемому состоянию на момент подписания. Если обнаружены аномалии, немедленно выполните операции по переводу активов, аннулированию полномочий и другим мерам по ограничению убытков.
Управление одобрением ERC20 также очень важно. В некоторых случаях пользователи предоставили токен-одобрение для определенных контрактов, и спустя годы эти контракты подверглись атаке, а злоумышленники использовали лимит токенов, одобренный атакованным контрактом, чтобы украсть средства пользователей. Чтобы избежать таких ситуаций, мы рекомендуем пользователям следовать следующим стандартам для предотвращения рисков:
Три, стратегия изоляции средств
При наличии осознания рисков и проведении достаточной профилактики рисков также рекомендуется осуществить эффективное разделение средств, чтобы в крайних случаях уменьшить степень ущерба для капитала. Рекомендуемая стратегия следующая:
Если вы случайно стали жертвой фишинга, мы рекомендуем немедленно принять следующие меры для снижения убытков:
Четыре, как безопасно участвовать в аирдропах
Airdrop — это распространённый способ продвижения блокчейн-проектов, но в нём также скрыты риски. Вот несколько рекомендаций:
! Никаких недоразумений при ончейн-взаимодействии, пожалуйста, отложите руководство по безопасным транзакциям Web3
Пять, рекомендации по выбору и использованию инструментов плагинов
Содержимое правил безопасности в блокчейне обширно, и не всегда возможно проводить тщательную проверку при каждом взаимодействии. Выбор безопасных плагинов имеет решающее значение, так как они могут помочь нам в оценке рисков. Вот конкретные рекомендации:
Шесть, Заключение
Следуя вышеуказанным рекомендациям по безопасной торговле, пользователи могут более уверенно взаимодействовать в все более сложной экосистеме в блокчейне, реально повышая защиту своих активов. Хотя технологии блокчейна обладают основными преимуществами децентрализации и прозрачности, это также означает, что пользователи должны самостоятельно справляться с множеством рисков, включая фишинг подписей, утечку приватных ключей и вредоносные приложения.
Чтобы достичь настоящей безопасности в блокчейне, полагаться только на инструменты уведомления совершенно недостаточно; ключевым является формирование системного осознания безопасности и привычек в работе. Используя аппаратные кошельки, реализуя стратегии изоляции средств, регулярно проверяя разрешения и обновляя плагины и другие меры защиты, а также внедряя в торговые операции концепцию "многофакторной аутентификации, отказ от слепых подписей, изоляция средств", можно действительно добиться "свободного и безопасного входа в блокчейн".